目 录
一 应用背景 .............................................................................................................................................................1 ●目前状况 ...............................................................................................................................................................2 二、需求分析 ...........................................................................................................................................................3 2.1 建设总目标和规模 ......................................................................................................................................4 2.2 建设原则 ........................................................................................................................................................4 2.3 主要技术路线 ...............................................................................................................................................5 三 总体设计 ...........................................................................................................................................................5 3.1 设计原则 ........................................................................................................................................................5 3.2 网络布署方案 ...............................................................................................................................................7 四 产品核心技术及设计优势............................................................................................................................8 4.1 产品核心技术 .............................................................................................................................................8 4.2 方案设计优势 ...........................................................................................................................................10 4.3 方案设计优势综述 ..................................................................................................................................11 五 任天行T200产品性能阐述..........................................................................................................................12 5.1 系统特点 ......................................................................................................................................................12 5.2 产品功能阐述 ...........................................................................................................................................13 5.3 产品关键技术 ...........................................................................................................................................15 5.4 产品性能参数 ...........................................................................................................................................21 六 培训计划 ...........................................................................................................................................................22 6.1 培训背景 ......................................................................................................................................................22 6.2 培训规划 ......................................................................................................................................................22 6.3 培训目的 ......................................................................................................................................................22 6.4 业务系统培训 .............................................................................................................................................22 6.5 培训方式 ......................................................................................................................................................23 七 服务承诺 ...........................................................................................................................................................24 八 公司简介 ...........................................................................................................................................................24
武汉大学图书馆上网管理建设方案
一 应用背景
随着互联网技术的快速发展和完善,因其独具的传播快速高效而备受关注,现在互联网技术已经成为人们日常生活中的一部分,人们从那里获得自己所需要的信息,或发布自己的信息。但正因为互联网的方便快捷,从而成为了一些人泄露机密,传播不利于社会稳定和长治久安的信息的途径。
从国内的情况来看,内容安全在前两年还是一个比较新的概念,当时使用内容安全系统的行业,主要集中在科研单位、军队、公安、政府等涉密级别较高的行业。随后一些网吧、学校、社区网络、电信运营商也在政府的重视下逐步部署内容安全系统,所以当时国内的内容安全市场还是处在一个比较空白的状态。随着国内信息化建设步伐的加快,网络安全市场逐步红火,在防火墙和防病毒产品两大热点过后,大家开始逐步关注内容审计安全市场。国内内容审计安全市场发展到今天,已经初具规模。而在该市场上重视程度较高的行业,已经从原来的政府、军工,拓展到电信、金融、研究机构、大中型企业、教育等不同行业。 为了更好的实施对互联网信息的有效管理,深入贯彻党的精神,净化网络信息环境,为我国提供安全稳定文明的现代生活环境等,深圳市任子行网络技术有限公司的网络安全产品,以全新的智能化技术实现了对互联网信息传播的有效管理。任子行公司是国内最早从事专业开发及应用信息內容安全系统的商业公司之一,并拥有自主产权。在成立的五年多时间里,其服务的行业已经从大中企业、教育、金融等领域逐步上升到军队、公安、政府、电信等。任子行的内容审计产品主要放置在数据集中管理的政府管理部门,例如公安机构、科研机构、文化管理机构或政府指派的企业等。该信息监控部分可以监控任意多个单位,包括集中式控制或松散式管理。同时国家重要的科研部门也可以装配信息监控系统的科研客户端,就像一个黑匣子一样在网络中透明地工作。
加强网络监管,净化网络环境。深圳市任子行网络技术有限公司会不断加大投入,从技术上提高网络防控的能力,全方位地为科研网络筑起一道安全的屏障。
第1页 共26页
武汉大学图书馆上网管理建设方案
●
目前状况
武汉大学图书馆的电子阅览室位于4个分馆,包括电子阅览室、信息检索室、
视听室约10个。各电子阅览室通过所在分馆的网关接入校园网。
因IP地址匮乏,各电子阅览室采用NAT技术上网,位于各分馆的NAT网关提供接入。各分馆的内部IP地址存在重叠情况。每个分馆的核心网络设备为Cisco Catalyst3550,按不同部分、阅览室进行了VLAN的划分。通过三层交换机接入校园网访问公网,目前信息中心都没有合适的手段记录用户上网行为,对某些泄密行为或反动言语不能很好的记录并发现,给公安破案带来很大不便。
第2页 共26页
武汉大学图书馆上网管理建设方案
二、需求分析
根据目前武汉大学图书馆的网络现状,要求审计系统能够对阅览室的上网行为进行审计和管理,对每台机器进行审计和管理,有效的记录上网行为,减轻工作人员人工登记的负担,详细需求;
针对上网用户和机器加强网络管理;提供灵活的网络管理策略,实现个
性化管理,设置不同部门的管理员,对本组的信息进行维护和管理 能够详实记录上网机器及人员的各种网络行为 能够对网络内容审计和控制管理
对日志进行深度挖掘,并从中分析出其规律 对日志进行分级别及加密管理
提供详细和直观的用户上网情况统计分析功能 详细记录用户的各种操作日志功能。
高效过滤不良站点的访问,并能够升级过滤站点列表。 各种流行网络在线游戏的封堵控制功能
第3页 共26页
武汉大学图书馆上网管理建设方案
2.1 建设总目标和规模
武汉大学图书馆电子阅览室上网认证及读者行为管理系统的总目标和规模如下:
1) 建立网络信息安全审计系统,实现阅览室的信息内容审计、封堵、控制、
管理功能。
2) 强化网络管理系统,实行有效的配置管理、失效管理、安全管理、审计
管理、封堵管理。
3) 建立以信息交换、信息发布和查询应用为主的计算机网络信息安全应用
基础环境,为图书馆的领导决策、科研、日常业务及行政管理提供先进的支持手段。
从建设目标和规模来看,项目的需求如下:
1) 审计系统适应标准TCP/IP结构网络,通过对网络的审计控制大幅度
提高网络的使用率;
2) 适应部门多、层次复杂的特点,合理进行权限划分,实现有效的安
全访问控制和管理。
3) 能够向未来的高速网络技术和不断出现的新应用过渡。
2.2 建设原则
建设总原则如下:
1) 建立安全、健康、文明、向上的阅览室。
2) 加强信息中心的信息建设,加强网络安全建设,为公安破案
提供详实的上网行为记录。
3) 统筹规划,统一标准,滚动发展,边建设,边应用,边见效
益,逐步建设。
4) 充分重视网络控制和信息的安全,建立完整的信息控制和授
权管理机制。
第4页 共26页
武汉大学图书馆上网管理建设方案
5) 在限定的时间和规模内,努力降低费用支出,提高系统的性
能价格比。
6) 采用成熟的先进技术,兼顾未来的发展趋势,既量力而行,
又适当超前,留有发展余地。
7) 充分发挥各方面的积极性,计算机网、信息网与网络安全审
计系统同步建设。
8) 抓紧组织队伍建设,完善规章制度,加强相关人员的培训工
作,培养一批基层信息网络管理员队伍。
9) 为武汉大学图书馆阅览室信息中心的领导决策、日常业务、
科研及行政管理提供各种数据依据。
2.3 主要技术路线
图书馆本次项目的主要技术路线如下: 1) 采用成熟/先进的技术。
2) 统一技术规范、标准和方案、统一组织实施。 3) 基于TCP/IP为主的通信协议。
4) 注意通信保密和数据安全,建立完善的网络安全管理系统。
5) 采用可靠、先进、高效、功能丰富的网络管理设备和完善、合理的规章
制度。
三 总体设计
3.1 设计原则
武汉大学图书馆阅览室网络信息安全建设项目是一项重要的网络工程,其设计是否合理,对武汉大学图书馆阅览室信息化的发展起着极为重要的作用。
网络信息安全建设项目是一项系统工程,其总体设计的确定,不仅要考虑到近期目标,还要为系统的进一步发展和扩充留有余地。整个网络的建设不是一朝一夕可以实现的,必须分步实施,设计中需要考虑各阶段的情况,适应长远发
第5页 共26页
武汉大学图书馆上网管理建设方案
展,进行统一规划和设计。
本项网络安全建设工程应尽可能采用成熟先进的技术,使用具有行业领先水平的计算机系统和技术手段,这些技术手段应该在相当长的时间内保证其先进性。开发或选购的各种软/硬件也尽可能先进,并有相当长时间的可用性。
建设后的网络审计系统工程应具有良好的开放性。这种开放性靠标准化实现,使得符合这些标准的计算机系统很容易进行网络联接。为此,必须依赖于全网统一的网络体系结构,并遵循统一的通信协议标准。网络体系结构和通信协议应符合广泛使用的国际工业标准和总体设计要求,使得整个网络成为一个完全开放式的网络计算环境。
武汉大学图书馆阅览室网络信息安全建设项目的总体设计原则如下: 1) 先进性
由于信息技术发展迅速,人们对信息的要求也越来越高,所以,制定审计方案时必须考虑一定的先进性。否则就很难避免出现项目建成之时也就是技术落后之日的尴尬局面。同样,在审计安全审计系统设计上如果没有适当的超前,一段时间之后,就会出现信息安全审计系统性能无法满足需要的被动局面。
2)安全性
网络信息安全审计产品自身的安全性是衡量产品性能优劣的重要因素。但同时由于其开放性,也使得其面临着越来越大的安全威胁。这种威胁既来自于网络的外部,也来自于网络的内部,即可能由于用户有意或者无意的数据侦听,暴力登录等。审计系统产品的安全措施必须有效可信,能够在多个层次上实现安全控制。
3) 可靠性
使用网络安全信息审计系统的目的在于使用户方便、快捷、准确地获取各种信息,提高网络的使用率。因而,安全信息审计系统运行可靠性就显得非常重要。如果审计系统产品故障频繁,时常出错,就会使网络安全审计失去意义,甚至变成负担。因此在软、硬件的设计选择时,可靠性问题必须给予足够的重视。
4) 统一性
统一性直接关系着审计系统的管理、维护、培训及使用效率,因而在可能的条件下,保持系统统一性就显得十分必要。网络信息安全审计系统应采用统一的
第6页 共26页
武汉大学图书馆上网管理建设方案
TCP/IP网络协议,统一的浏览器查询软件,统一的浏览界面及操作方式。
5) 可扩展性
能够在规模和性能两个方向上进行扩展,扩展后的性能有大幅度提高。 6) 易操作性
鉴于部分权限用户的计算机应用水平相对不高,因此在界面设计时一定要考虑易操作性。如果操作过于复杂,就会使用户难以配置和使用,最终导致审计系统无法真正运转。
7) 经济性
应以较高的性能价格比构建网络信息安全审计系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留并延长已有系统的投资,充分利用以往在资金与技术方面的投入。
3.2 网络布署方案
以下是针对武汉大学图书馆阅览室的安全审计系统的布署安装示意图:
第7页 共26页
武汉大学图书馆上网管理建设方案
公网防火墙端口镜像用户名管理服务器核心交换机任天行审计系统二层交换机三层交换机二层交换机三层交换机宽带用户宽带用户宽带用户宽带用户宽带用户宽带用户宽带用户宽带用户
说明:1. 要求接任天行审计设备的能够提供数据捕包分析;
2. 要求审计设备的通讯口和所有终端能正常通讯,并对日志能留存90天。
四 产品核心技术及设计优势
4.1 产品核心技术
● 高性能的捕包机制
系统采用旁路监听技术,无需改变现有网络结构和其它系统设置,对网络速度没有任何影响。采用具有自主知识产品的核心捕包技术,在操作系统级对底层分析引擎进行了修改和全面优化,并且对硬件的驱动程序进行了改造,大大提高了系统的数据捕获和处理能力,使系统在高数据带宽下的性能比采用WINDOWS和LINUX系统下流行开源代码完成数据捕获的网络内容分析
第8页 共26页
武汉大学图书馆上网管理建设方案
产品性能高出一倍以上。
● 高效数据还原技术
系统利用网络侦听技术实现数据捕获,采用高效的并行协议还原算法将原始数据还原至网络层、传输层及应用层数据。能够还原分析的应用层协议要求有:FTP、TELNET、SMTP、POP3 、HTTP,MSN,YAHOOMESSENGER,游戏等。
● 高效的过滤引擎
采用URL过滤技术。过滤引擎接收传送过来的HTTP访问请求数据包,将HTTP访问请求与用户的静态或动态策略进行实时对比,判断用户是否具有该URL的访问权限;如为非法访问,则向用户发送屏蔽页面,阻断用户访问,同时记录控制范围内的用户所有的HTTP访问行为。URL网址过滤数据库可以自动进行更新。过滤引擎处理能力强,可扩展性高。
● 有效的应用封堵技术
基于旁路监听的设备由于并非串接在网络中,所以在封堵许多网络应用时,不能象网关型串接设备那样,简单地判断出包的应用类型后把包丢弃即可,而是通过发送伪造数据包以打断真实的通讯。这要求发送的伪造数据包足够真实,达到乱真的效果,同时速度很快,远在真实的数据包返回前,即已欺骗成功,打断了原有的网络通讯。任天行充分准确分析各种应用协议,解包,组包都在几毫秒以内,能有效地封堵现流行的各种网络应用。
● 高效的关键字分析技术
采用了高效的匹配算法,完成对内容关键字的匹配,提高过滤文件的效率。过滤文件的时间与文件的长短成正比。使得只需对内容扫描一遍,就可匹配完所有设定的关键字。通过该算法保证了系统可以配置足够多的关键字表达式,保证了系统关键字匹配的性能。
● 高可用性的界面设计
系统的用户操作全部通过浏览器方式完成,而这种B/S模式的用户界面存在以下优点:
1、 对用户环境没有任何特殊要求,无须用户为满足产品使用进行任何环境
的改变;
第9页 共26页
武汉大学图书馆上网管理建设方案
2、 B/S结构模式的数据处理过程全部在服务器端完成,不会增加管理主机
系统负载。
通过超链接的作用,对数据记录的浏览能够实现非常灵活的跳转,用户可以在浏览过程中任意切换到关联内容中,通过这个特性,用户可以很容易的发现各种类型报警或者统计数据之间的关联性,从而更全面和深入地了解审计事件;
● 自身安全性设计
1)加密的数据通道
系统使用SSL加密技术来确保系统在各个工作环节中所有的传输数据的安全性。用户登陆管理界面时,我们使用SSL技术为用户建立一条加密通道,保证用户帐号,口令不被窃听; 2)防暴力攻击
为了防止黑客采用暴力方法猜测用户账号和密码,我们采用图形校验码验证,且当连续3次尝试登陆失败,系统自动锁住一段时间的方法阻止暴力攻击。
3)隐藏自身的IP地址
系统的所有探测端口均屏蔽了自身的IP地址,使攻击者无法通过探测端口对任天行网络安全管理系统进行扫描和攻击,确保系统自身的安全性。 4)采用多级用户管理
在系统界面访问中,为了确保不会出现越权访问和操作,我们将提供灵活的权限分配机制,系统管理员可以灵活的为不同性质的用户自定义权限,不同用户具有不同权限,用户之间彼此制约,相互监督,确保系统操作的安全性。
4.2 方案设计优势
解决方案中产品优点:
1)、完全满足用户需求,并有所扩展。除用户提到的功能需求外,《任天行
网络安全管理系统》还具有许多方便用户对互联网管理的功能,如
第10页 共26页
武汉大学图书馆上网管理建设方案
EMAIL、网面访问、即时聊天工具的内容记录与审计等等。
2)、实施方便,管理简单。实施时,只需要在网络出口上安装《任天行网络
安全管理系统》而无须在所有的机器上安装客户端,减少实施难度。所有的产品都支持B/S方式的管理界面,可通过IE等浏览器即可远程管理。
3)、高可靠性、高安全性。审计机器安装在网络出口上,完全不影响原有网
络速度,且不会被卸载。
4)、技术领先,保护用户投资。深圳市任子行网络技术有限公司有多年的技
术积累,雄厚的研发力量,完善的服务体系,能充分保证用户的投资,所有产品都支持通过网站即时升级,新的列表,新的功能,新的版本一旦可用,用户可即时更新。
4.3 方案设计优势综述
在本次投标过程中任子行公司的安全审计产品采用的解决方案具有独特、新颖、实用、可实施、可操作等特点,本着从用户出发的角度,站在用户的立场上考虑问题,切合实际,具有以下的特点和优势: (一) 统一的硬件平台解决方案
1) 采用统一的嵌入式(Linux系统)平台,相对于Windows平台,具有较为安全的性能和稳定性能。
2) 只需要在网络出口上安装《任天行网络安全管理系统》而无须在所有的机器上安装客户端,系统维护简捷方便,应用系统实现自动升级,智能化管理。 (二) 硬件实施系统的优势
该统一部署硬件方案首先满足了单位对产品的要求,其次在系统中提供了一定用户数量的冗余设计,满足未来上网用户数量增加的需求。第三,在系统功能中硬件产品还提供了五项用户经常用到的核心功能。具体功能如下: ● 网络行为控制管理:
可根据人员帐号、机器、机器组对不同的时间段提供对各类网站,网络在线游戏,即时通讯工具,BT下载,WEBMAIL邮件,网页文件下载及邮件,BBS等的控制。
第11页 共26页
武汉大学图书馆上网管理建设方案
● 文件下载管理:根据文件类型对文件的FTP下载进行控制。 ● 内容审计:
系统提供对电子邮件(E-MAIL),文件传输(FTP),网上论坛(BBS),远程登陆(TELNET),即时通讯(MSN,YAHOO MESSENGER)进行基于内容关键子和帐户及机器匹配的内容记录审计功能。
● 操作日志记录:
详细的记录操作者的使用情况,加强了对使用者自身进行审计。
● 网络工具:
提供网络工具帮助发觉网络中的异常机器,异常流量。能够发现网络中的私接代理,网络中的SNIFFER探器,有效地规范网络的管理。 (三) 硬件方案的优势
重点强调部署,考虑到安全审计软件产品安装在单位的服务器上,每天日志量很大,占用大量的服务器资源和空间,对服务器的性能有一定的影响,同时也会影响服务器的其他应用。另外考虑到软件本身的处理能力和将来上网终端数量的扩展,软件系统不能满足安全审计要求,满足单位未来发展的需要,软件的稳定性相对也不如硬件产品,我们提供负利润空间的《任天行网络安全管理系统》硬件解决方案来替代软件解决方案。
五 任天行T200产品性能阐述
本系统是基于嵌入式硬件的高性能,高稳定性的网络信息安全审计和管理设备。在对LINUX的系统内核进行充分剖析的基础上,在操作系统级对底层分析引擎进行了修改和全面优化,并且对硬件的驱动程序进行了改造,大大提高了系统的数据捕获和处理能力,使系统在高数据带宽下的性能比采用WINDOWS和LINUX系统下流行开源代码完成数据捕获的网络内容分析产品性能高出一倍以上。同时系统采用了专用高效的并行协议还原分析技术,大大提高了协议分析和还原效率,是真正的百兆和千兆内容审计系统,在国内外处于领先水平。
5.1 系统特点
第12页 共26页
武汉大学图书馆上网管理建设方案
安全可靠
数据的传输和存储采用国际上流行的SSL安全加密算法进行加密,并进行强身份验证,有效地保护数据的安全性及正确性。 操作简便
采用B/S结构,不需要安装任何客户端软件即可进入管理平台,操作简单易懂。
5.2 产品功能阐述
● 接入方式:系统采用旁路监听的方式,不影响网络主干结构和速度。 ● 部署与管理方式
支持分布式的部署方式,支持ADSL、VPN等网络环境策略的集中分发。通过web界面来管理使用。
● 角色与权限管理
具有用户角色与权限管理的功能,最少可以内置三种不同的权限角色。每个功能模块分为只读、可写、禁止三种权限级别,在此基础上可以根据实际工作中的职位、权责等因素为系统设置多种角色,管理员生成帐号时可根据实际情况为帐号指定角色,此时帐号将自动继承指定角色的全部权限。系统在首次安装后管理员可根据实际的权限需求为系统预置多种内置角色,内置角色的数量目前系统没有限制。
● 关键字过滤
具有自定义关键字过滤功能,如对google搜索关键字过滤。并可根据URL中的关键字进行网络封堵,支持关键字的各种编码,有效地防止通过GOOGLE、百度等搜索引擎搜索和访问一些不良信息站点。
● BT以及P2P下载管理:可按时间、文件大小对BT以及P2P类下载进行控制。 ● 机器管理与图表显示
在设备接入网络后,即可主动搜索和被动监听网络中存在的所有计算机,能计录和绑定计算机的IP、MAC地址、机器名等信息,并实现机器实名制管理;对搜索到的机器可以分组和图形展示并配置不同的管理策略。
● 各种协议的行为记录
第13页 共26页
武汉大学图书馆上网管理建设方案
详细的记录包括HTTP、FTP、SMTP、POP3、BT、QQ、TELNET、MSN、YAHOO MSG、OICQ、ICQ、网络游戏等协议的网络行为,并能够根据不同的协议不同机器进行详细的记录查询。
● 日志报表分析
能够通过局域网内的任何一台机器自定义各种查询条件生成不同的分析报
表,并可根据机器名、IP、时间、协议、流量等条件进行组合查询并形成报表,提供按一定的周期(周,月)产生各台机器、机器组的互联网使用报告,包括互联网使用机器排名、网站访问排名,网络流量排名等报表。
● 流量分析统计
能够以图形的方式直观的显示当前每台机器的实时流量状况。
● 专业URL过滤库
具备专业的URL过滤库,并提供专业的、量大的不良站点、娱乐休闲、综合咨讯、行业网站等的网站分类库,能够对每类网站进行不同的策略控制,有效阻止对不良站点的访问,站点库由专人维护并可实时自动升级。
● 日志存储管理
全面的日志管理功能。服务端采集、服务端存储,日志加密存放,在磁盘空间不足时,能主动通过EMAIL向管理员预警;多种组合条件的日志检索,帮助管理员快速定位;在满足规定保留日志最少90天的基础上,充许管理员设置可靠的日志策略、备份导出并清空已超过90天的日志。
● 网络行为控制管理
可根据人员帐号、机器、机器组对不同的时间段提供对各类网站,网络在线游戏,即时通讯工具,BT下载,WEBMAIL邮件,网页文件下载及邮件,BBS等的控制。
● 文件下载管理:根据文件类型对文件的FTP下载进行控制。 ● 内容审计
系统提供对电子邮件(E-MAIL),文件传输(FTP),网上论坛(BBS),远程登陆(TELNET),即时通讯(MSN,YAHOO MESSENGER)进行基于内容关键子和帐
第14页 共26页
武汉大学图书馆上网管理建设方案
户及机器匹配的内容记录审计功能。
● 操作日志记录
详细的记录操作者的使用情况,加强了对使用者自身进行审计。
● 网络工具
提供网络工具帮助发觉网络中的异常机器,异常流量。能够发现网络中的私接代理,网络中的SNIFFER探器,有效地规范网络的管理。
● B/S结构
B/S结构,无须安装客户端,可通过局域网内的任意一台终端即可登陆到系统中查看系统运行及管理互联网使用。
● 多语言支持
提供简体中文,繁体中文,英文等多个语言版本,并可动态切换。
5.3 产品关键技术
任天行是真正的百兆和千兆内容审计系统,在国内外处于领先水平。为了达到稳定,高效的互联网审计管理,系统分为多个模块,采用了多种关键技术。系统模块框架如下图所示:
查询、配置、显示、浏览YahoBFoBT SPMSG网页分析 网上音视频网络游戏POP3SMTPP2P下载WTeEbMQLMSQNaNEiTl分类站点库策略控制存储管理日志分析日志检索状态管理网络诊断远程连接并行协议栈捕包引擎过滤引擎内容匹配引擎升级引擎专用的网络设备驱动基于Linux内核的专用操作系统
图3.1.1.2 系统模块框架图
第15页 共26页
武汉大学图书馆上网管理建设方案
5.3.1专用操作系统
Linux操作系统是一个安全的,高效的操作系统。任天行中的操作系统经过内核裁减,只保留了少数相关的服务与功能,系统内核达到最小化,使操作系统的额外开销与不稳定因素减至最小化。另外,采用特有的文件系统,使系统能抵御突然掉电等物理灾害造成的对系统的损害。
5.3.2专用网络设备驱动
网卡的性能对于网络安全审计系统非常重要,因为它直接关系到数据采集(捕包)的速度。任天行通过硬件,软件两种方法来提高网卡的性能:一、任天行采用基于INTEL架构的网卡,速度快且稳定。二、开发专用的驱动程序,减少数据在网卡驱动不同模块间的传递环节,使数据通过DMA的方式直接传递给应用程序空间,减少CPU的参与,与及数据拷贝的次数,提高处理速度。
5.3.3捕包引擎
对于基于旁路监听的网络安全设备来说,系统捕包的效率对整个系统的性能至关重要。如果系统产生丢包现象,则相应的网络访问将不会被审计监测,网络管理就会不全面。当网络带宽向着千兆、万兆线速迈进时,完整地捕获并记录网络中流过的数据对系统是一个很大的考验。
传统上,Linux,FreeBSD等操作系统自带的TCPDUMP,ETHERREAL等捕包工具都是建立在Libpcap平台上。由于Libpcap是通过原始套接字得到指定网卡接收到的全部数据包,所以Libpcap的性能受到传统驱动程序的限制,例如在核心态进行多次内存操作,比如数据包校验,控制顺序等。这些操作会占用大量的CPU运算资源,内存资源,并且导致时延而效率不高。新的捕包引擎就是通过减少这一系列的中间环节而实现的一种高性能报文捕获平台。通过实现网络接口设备直接将数据报文以DMA方式存储到应用程序可以访问的地址空间,避免数据报文在内核态里传输时的内存操作,缩短数据报文行走路径;通过环策略管理数据报文缓冲区,实现网卡和应用程序无冲突访问共享资源。这两点有效地降低网络通信的延迟,极
第16页 共26页
武汉大学图书馆上网管理建设方案
大地节省CPU开销。
通过性能分析比较标明,接收64Byte和1500Byte的报文时吞吐量分别达到90万pps(439Mbps)和8.2万pps(938Mbps),与传统的报文传输机制相比,报文捕获能力有 较 为显著的提高。为了进一步比较Libpcap和零拷贝的性能,搭建测试环境如下:用 smartbits控制发包速率和数据包长,捕包机硬件配置CPU P4 2.0GHz * 2;内存 4G;高速缓存512KB/CPU;网卡Intel(R)Pro/1000。测试结果如下表3.2.3所示。可以看出,新捕包引擎无论对小报文还是大报文,其处理能力都得到极大的提高
IP包长 Byte 64 512 1500
5.4.4过滤引擎
基于旁路监听的设备由于并非串接在网络中,所以在封堵许多网络应用时,不能如网关型串接设备一样,简单地判断出包的应用类型后把包丢弃即可,而是通过过滤引擎发送伪造数据包以打断(过滤)真实的通讯。在网络通信过程中,通讯双方都有各种的较验机制,对于任何不符合较验的伪造数据包,都会丢弃而不做处理,这要求发送的伪造数据包足够真实,达到乱真的效果,同时速度很快,远在真实的响应数据包返回前,即已欺骗成功,从而打断了原有的网络通讯。任天行准确分析各种应用协议,解包,组包都在几毫秒以内,能有效地封堵现流行的各种网络应用。其中对QQ所有版本的全面封堵为国内特有。
第17页 共26页
传统捕包引擎最大速率 *104pps 17.0 16.0 1.5 Mbps 83 625 172 新捕包引擎最大速率 *104pps 90.0 23.0 8.2 Mbps 439 911 938 武汉大学图书馆上网管理建设方案
5.5.5内容匹配引擎
内容匹配技术在信息外泄的控制,网络行为分析等方面有重要的作用。对于一个大型组织的互联网来说,每时每刻外发的信息都浩如烟海,要依靠人工去从这些如山的数据中发现和匹配是否有敏感受信息被外泄了无疑是不现实的,因此系统提供的内容匹配功能就必不可少了。而根据每次扫描最多可以发现的关键字的数目,内容匹配算法可以分成单模匹配和多模匹配两种。二者之间的区别在于前者每次扫描后最多可以发现一个关键字,后者则可以发现所有出现的关键字。现今主要有三种单模匹配算法:KMP、BM、KR。这三种算法的复杂度可以达到O(NM),N是数据长度,M是关键字数量。
单模匹配算法虽然可以线性地发现数据出现的关键字,但因为其单模的特点,不满足内容审计系统的需要。内容审计系统允许用户配置多个关键字,需要在数据中找到所有出现的关键字的位置,这也是多模匹配算法的长处。因此我们采用了基于状态机的多模匹配算法,只需对数据扫描一遍,就可发现所有出现的关键字。过滤时间与数据长度成正比,和设定的关键字数目无关,算法分析复杂度是O(M+N),N是数据长度,M是关键字数量。可见此算法对数据长度与及并键字数量具有线性复杂度,比起传统的单模匹配算法大大提高了效率。
5.6.6升级引擎
网络应用越来越复杂,新的应用协议、新的管理功能需求不断地出现,为了保证用户已购买的任天行系统能适应这些需求,系统内置的升级引擎能根据用户的设定,定时获取更新信息并自动安装。升级过程中,用户的配置,日志等信息与系统程序分离,保证平滑无缝升级。升级引擎保存着程序的多个副本,只有经过完整的较验确认新的升级包能稳定运行后,程序才删除原有副本,否则会自动切换回未升级前状态,防止升级过程中的任何出错。
第18页 共26页
武汉大学图书馆上网管理建设方案
5.7.7并行协议栈
对于互联网审计产品来说,数据捕获、协议栈,协议分析等过程中的效率对系统的最后性能起着决定性的因素。
传统协议栈接收一个UDP数据包的流程是:以太网设备驱动程序首先响应中断,假定该中断表示一个正常的接收已完成,数据从设备读到一个缓冲链表中。这个链表除了记录数据内容、还保存一个指针指向接收数据的接口结构。然后把链表传给一个通用以太网输入例程,它通过以太网帧中的类型字段来确定哪个协议层来接收此分组。在这个例子中,类型字段标识一个IP数据报,从而该链表被加入到IP输入队列中。接着产生一个软中断来执行IP输入例程。接着IP输入例程响应软中断,它验证I P首部检验和,处理I P选项,验证数据报被传递到正确的主机(通过比较数据报的目标IP地址与主机IP地址),并当系统被配置为一个路由器,且数据报被表注为其他的IP地址时,转发此数据报。如果IP数据报到达它的最终目标,调用IP首部中标识的协议的输入例程:ICMP,IGMP,TCP或UDP。在这个例子中,调用UDP输入例程去处理UDP数据报。最后UDP输入例程验证UDP首部的各字段(长度和可选的校验和),然后确定是否一个进程应该接收此数据包。
很明显,传统协议栈采用类似函数链的串行处理方式,依次处理IP输入例程和UDP输入例程,这种软件结构不能充分利用现有SMP架构的性能,经常出现一个CPU的占用率达到100%,其他CPU还无事可作的情况。因此我们用并行协议栈取代传统协议栈,充分发挥SMP架构的性能,给多路CPU、多内核CPU、超线程CPU足够的施展空间。为了解决并行处理中不可避免的负载均衡的问题,选取硬件分流器中流行的IP+PORT分流策略,保证在大流量的情况下处理线程之间工作量均等,有效避免过载线程的出现。配合大流量数据捕获模块,取消传统协议栈软中断的开销,可以进一步地提高系统的性能。
第19页 共26页
武汉大学图书馆上网管理建设方案
5.8.8协议分析
TCP/IP协议族通常被认为是一个四层协议系统-链路层、网络层、传输层、应用层。链路层通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡;网络层处理分组在网络中的活动,IP、ICMP和IGMP都属于这个层次;传输层主要为两台主机上的应用程序提供端到端的通信,TCP和UDP都属于这个层次;应用层负责处理特定的应用程序细节,比如说Foxmail中的一封Email,IE中的一个网页,QQ中的一句留言等。
任天行捕包引擎工作在链路层,负责高效完整地捕获原始数据帧;并行协议栈工作在网络层和传输层,负责将杂乱无序的原始数据帧组成符合网络层和传输层协议的数据报文,完成IP分片重组和TCP乱序重排等工作;协议分析模块工作在应用层,分析数据报文承载的应用类型,定位对用户有用的信息,如果信息被压缩或编码,还需要完成解压缩或解码的工作。任天行的协议分析模块支持的应用包括:网页、在线音视频、网络游戏、BT、FTP、SMTP、POP3、MSN、QQ、YAHOO Messenger、Telnet等。这些应用的分析工作有的是基于RFC文档,有的是基于黑盒破解,需要网络、算法、密码学、逆向工程等多方面的综合知识。
5.9.9不良站点库
任天行拥有国内最大包括色情、暴力、毒品、非法言论等不良站点库总数超过四百万条。同时,我们专业的不良站点收集团队每天收集互联网上出现的新站点,为提供客户提供实时更新,方便客户更有效地管理互联网的使用。
第20页 共26页
武汉大学图书馆上网管理建设方案
5.4 产品性能参数
T200产品具体性能参数如下:
特性 网卡捕包速度 最大网络带宽 最大同时处理的连接数 最大过滤逻辑处理时间 数据保存时间 设计策略数量许可值 多策略性能影响 客户端授权限制 T200 55000-75000pps(每秒数据包) 1000M 300000个连接 10毫秒 最少90天 不限 30000条策略无影响 200个客户端
第21页 共26页
武汉大学图书馆上网管理建设方案
六 培训计划
6.1 培训背景
由系统概述中可以看出,无论是业务流程还是涉及范围都较之以往的系统有着巨大的变化,并且此系统包含新的技术,使得系统运行与管理变得比较复杂,因此对相关技术人员进行培训将是整个系统建设一个必不可少的环节。
6.2 培训规划
任子行公司将本着服务用户的原则,通过有效的培训手段为系统成功提供保障。
根据项目实际需求,以集中培训和热线支持的方式实施培训工作。接受培训的人员在培训后能独立完成相应的工作。
在系统运行和推广期间,我方将本着为客户服务的原则,利用我方资源,协调外部资源,完成相关培训。
6.3 培训目的
在项目实施过程中,本着全面共享知识与经验的宗旨,除贯穿实施全过程的用户传帮带外,还会针对系统中的软硬件设备配置提出一整套系统的培训方案,以达到如下目的:
通过对系统运行维护人员的培训,使技术人员其能够切实理解和掌握系统相关各种基础知识,熟练管理以及维护操作,保证系统完工后能够正常运转,并得到优化的执行。
通过对普通用户的培训,使大家掌握系统的使用方法,能够更好的使用系统发挥效益。
6.4 业务系统培训
业务系统培训是指为客户的办公人员提供计算机的一般使用培训和新开发
第22页 共26页
武汉大学图书馆上网管理建设方案
的应用系统使用培训。
一般使用培训
一般使用培训主要针对网络和操作系统基础比较薄弱而日常工作又经常使用网络的一般办公人员进行。主要目的是熟悉计算机系统管理和相关网络设备使用和维护。其中本项目中应用到的相关网络设备的安装调试、实际的操作和故障处理和应该注意的事项培训由任子行的相关技术人员现场讲授。在以下培训课程中不再具体体现,而是针对网络和操作系统的基础培训。
培训人员:一般办公人员
培训目的:建立网络系统基本概念,初步了解本系统整体网络体系,最终使办公人员熟练掌握网络操作系统、本系统的基本使用方法,能够很快的胜任自己的岗位。
6.5 培训方式
培训方式采用集中培训、网上培训、热线支持等相结合的方式,针对不同层次的人员,开设不同的培训课程。
集中培训方式:
分别针对系统管理员、系统维护人员和系统操作人员,开设集中培训课程。重点是系统维护人员和系统操作人员,采用集中授课的方式,进行培训。
网上培训方式:
通过帮助文件及多媒体课件提供在线帮助和下载学习。 热线支持方式:
在系统初运行的一年内通过服务热线提供即时操作咨询。
第23页 共26页
武汉大学图书馆上网管理建设方案
七 服务承诺
我公司倡导“质量为本、创新为源、服务制胜”的原则,为了更好的服务河北地区,我公司在武汉市成立技术支持中心,以此为湖北用户提供更快捷、更高效的售后服务。
我公司对产品提供三年的免费服务期,服务项目包括软件版本升级; 5天X 8小时电话技术支持;7天X 24小时E-mail技术支持。
公司提供7*24小时实时响应,7*24小时技术支持。响应时间不超过30分钟。
公司的服务方式主要有电话热线、INTERNET、后台维护和现场服务。
八 深圳任子行网络技术有限公司简介
深圳市任子行网络技术有限公司成立于2000年5月,是由深圳国际技术创新研究院投资,专业从事计算机网络及信息安全技术产品研发的高技术公司。公司依托哈工大雄厚的科研实力,专业从事网络内容安全服务,为政府、金融、证券、电信和各类企业提供全方位的,优质的计算机网络及信息安全服务和高效、可靠、完整的安全解决方案。公司于2000年10月经深圳市高新技术产业园区领导小组批准,入住深圳市高新技术产业园。于2002年5月获得深圳市高新技术企业和深圳市软件企业资格认证。通过严格的国家级评审已获得国家2002年网络安全产业化支持项目的评审,在内容安全方面将成为国家重点支持的高科技企业。
公司主要从事互联网内容安全方面的研究和产品开发。公司现已开发出用于家庭、校园、企业、网吧以及各类集团用户的网络内容安全审计和过滤产品。尤其是公司开发的“网吧”安全审计管理系统目前在国家“网吧”安全治理专项斗争中得到较为广泛的应用。另外公司还承担了多项国家网络安全方面的重点研究项目。取得了较好的经济和社会效益。
在科研队伍的管理上,公司结合学校和市场的特点,制定并执行一套严格
第24页 共26页
武汉大学图书馆上网管理建设方案
的管理制度;建立合理的激励机制,保证技术骨干员工的相对稳定;创造良好的“以人为本”的企业文化氛围,发扬“诚信、敬业、协同、创新”的企业精神,使员工个人的追求与集体的追求相统一,充分发挥个人的潜能。公司目前高层管理者都具有博士和硕士学位,公司员工88%以上具有本科以上学历。努力开发具有自主知识产权的网络安全软件,成为国内网络安全领域的一个骨干力量。
公司成立以来,开发了从终端到服务器的全线内容监测产品,并成功应用于家庭、校园、企业和公安系统等互联网络的审计和管理。目前已开发的产品有以下几种:网中行、互联网信息安全审计管理系统(校园版)、互联网信息安全审计管理系统(企业版)、Net110网络安全审计系统(网吧版)和任天行网络安全管理系统。这些产品均已通过公安部计算机信息系统安全产品质量监督检测中心的检测,并获得公安部颁发的《计算机信息系统安全专用产品销售许可证》。
展望明天,公司将秉承“诚信、敬业、协调、创新”的企业精神,提供安全可靠、经济实用、具有超前性的软件产品和服务,让用户安全地遨游于网络空间,充分享受高科技带给人们的全新生活理念与发展机遇。
第25页 共26页
因篇幅问题不能全部显示,请点此查看更多更全内容